Güvenlik araştırmacıları, F5’in BIG-IP uygulama dağıtım denetleyicilerini etkileyen yüksek şiddetli komut enjeksiyon güvenlik açığı olan CVE-2025-20029 için Konsept Kanıtı (POC) istismar kodu yayınladılar.
8.8 CVSS V3.1 puanı taşıyan kusur, kimlik doğrulamalı saldırganların Icontrol Rest API ve TMOS kabuğundaki (TMSH) özel unsurların uygunsuz nötrleştirilmesi yoluyla keyfi sistem komutlarını yürütmelerini sağlar.
Başarılı sömürü, standart kullanıcı ayrıcalıklarına sahip saldırganların kök seviyesindeki erişimden artarak BIG-IP kontrol düzlemi altyapısının tamamını tehlikeye atmasına olanak tanır.
Güvenlik açığı, saldırganların kabuk metacharacters içeren kötü niyetli parametreler enjekte edebileceği TMSH komut satırı arayüzünün kaydetme işlevselliğinde yetersiz giriş sterilizasyonundan kaynaklanmaktadır; veya &&.
Bu, System () çağrılarına aktarılan kullanıcı tarafından sağlanan argümanların uygunsuz işlenmesi yoluyla F5’in kısıtlı komut ortamını atlar.
Sömürü geçerli kimlik bilgileri gerektirse de, savunmasız komut dizilerinin öngörülebilir yapısı nedeniyle saldırı karmaşıklığı düşük kalır.
Araştırmacılar, bu güvenlik açığını çalıntı kimlik bilgileriyle birleştirmenin, saldırganların TMSH’nin şov alt komutları aracılığıyla keşif komutlarını yürütmesine izin verdiğini, eko yeniden yönlendirme kullanarak /var /tmp’ye kötü niyetli yükler yazmasına ve Cron iş enjeksiyonu yoluyla tetikleme ayrıcalığını tetiklemelerine izin verdiğini gösterdiler.
Etkilenen sürümler ve Düzeltme
Konsept Kanıtı sömürü mekaniği
Serbest bırakılan POC, komut kısıtlamalarını atlamak için BIG-IP’nin REST API uç noktası/MGMT/TM/Util/Bash’ten yararlanır. Hazırlanmış bir JSON yükü, yapılandırma yedekleme işleminde uygunsuz argüman işlemesinden yararlanır.
Başarılı yürütme, kök ayrıcalıklarıyla enjekte edilen komutları çalıştırırken 200 OK yanıtı döndürür.
Analistler, istismar zincirinin şunları onaylayabileceğini doğrular:
- /Config/bigip.license adresinden idari kimlik bilgilerini çıkarın
- Kalıcı Backdoors oluşturmak için irule yapılandırmalarını değiştirin
- TMSH silme işlemleri aracılığıyla trafik yönetimi politikalarını bozun
Azaltma stratejileri
Geçici hafifletmeler şunları içerir:
- Kendinden IPS’deki bağlantı noktası kilitleme ayarları aracılığıyla iControl dinlenme erişimini kısıtlama.
- Yönetim arayüzleri için ağ segmentasyonunun uygulanması.
- TMSH komut kullanılabilirliğini sınırlamak için katı RBAC politikalarının uygulanması.
CVE-2025-20029, öncelikli iyileştirme gerektiren kritik bir altyapı tehdidini temsil eder.
Kuruluşlar F5’in güvenlik güncellemelerini 24 saat acil durum değişiklik pencerelerinde uygulamalı, yönetim arayüzü trafiğine maruz kalan sistemlerin adli denetimlerini yürütmeli ve komut enjeksiyon modellerini tespit etmek için Runt-Zaman uygulaması kendi kendini koruma (RASP) kurallarını uygulamalıdır.
Ağ cihazları giderek daha fazla saldırı vektörleri haline geldikçe, güvenlik topluluğu API uç noktalarının sertleşmesini ve yönetim düzlemi erişimi için sıfır tröst ilkelerini benimsemeyi vurgular.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun